2015年4月30日にオラクルコーポレーションが提供している「Java SE 7(Java Platform, Standard Edition 7)」の公式サポートが終了します。公式サポートが終了すると、新たな脆弱性が発見されても、アップデートが提供されなくなります。 アップデートが提供されなくなると、脆弱性を悪用した攻撃によるウイルス感染などの危険性が高くなります。利用者には、速やかなバージョンアップの実施が求められます。
公式サポートが終了した「Java SE 7」を使い続ける危険性
公式サポートの終了以降も「Java SE 7」を使い続けると、脆弱性が新たに発見されてもアップデートが提供されないため攻撃の被害にあう可能性が高くなります。クライアント、サーバには各々下記のような危険性があります。
- クライアントPC
- サーバ
改ざんされたウェブサイトへアクセスした場合、および攻撃者が用意したウェブサイトに意図せずアクセスさせられた場合にウイルス感染する危険性があります。その結果、情報漏えいなどが発生する可能性があります。
図1: Java の脆弱性を悪用したクライアントPCへの攻撃
サーバのプログラムに対し、悪意のある入力が行われる危険性があり、その結果、意図しない動作を引き起こし、情報漏えいや意図しないサービス停止の可能性があります。
図2: Java の脆弱性を悪用したサーバへの攻撃
「Java SE 7」の脆弱性情報
2014年に公開されたソフトウェアの脆弱性対策情報は7086件ありました。このうち、深刻度が最も高いレベル3の脆弱性は1738件あり、全体の24.5%でした。また、2014年に公開された「Java SE 7」が影響を受ける脆弱性対策情報は111件で、このうち、レベル3は48件あり、全体の43%を占めていました。公式アップデート終了後にも、「Java SE 7」の脆弱性が新たに発見される可能性があり、その悪用によるウイルスの流布、更に情報漏えいの発生が懸念されます。
|
図3:2014年に公開されたJava SE 7が影響を受ける脆弱性対策情報の深刻度割合 |
図4:2014年に公開された全ての脆弱性対策情報の深刻度割合 |
対策
- Javaアプリケーション利用者の対応
- Javaアプリケーション提供者の対応
利用しているJavaアプリケーションがJava 8に対応していることを開発元に確認の上、最新のJREにアップデートしてください。2015年3月11日時点の最新バージョンは「Java 8 Update 40」です。下記のURLからダウンロードできます。ただし、組織で使用しているPCについては、システム管理者にバージョンアップの可否を確認してください。
Javaのダウンロードページ https://java.com/ja/
また、IPAではインストールされているソフトウェアのバージョンが最新かどうかチェックできる「MyJVN バージョンチェッカ」を提供しています。
MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/index.html
「Java SE 7」を使用しているシステムが、JREを最新バージョンにアップデートしても動作するかを確認してください。正常に動作する場合は、最新バージョンにアップデートしてください。
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:
更新履歴
| 2015年3月11日 | プレスリリース |